HOPET Informatika

Név:
Jelszó:

2024. november 21. csütörtök, Olivér

„Informatika az üzlet szolgálatában!”


Informatikai audit és kockázat elemzés alapok


IT risk audit

Az informatikai audit és kockázat elemzés programjának egyes lépései az alábbiak:

  1. IT struktúra vizsgálata
  2. Az elemzés során összegyűjtésre kerül a további lépésekhez szükséges valamennyi információ, az alábbi lépésekben:
    • Hálózati térkép áttekintése, aktualizálása
    • A hálózati térképen feltüntetésre kerül valamennyi helyszín, IT alkalmazás, IT rendszer, külső és belső adatkapcsolat, a kapcsolat típusa, az adatkapcsolatok sebessége és az adatátviteli protokollok.
    • A hálózati térkép egyszerűsítése
    • Az azonos ill. hasonló IT értékek csoportosítása következik, azaz amelyek azonos konfigurációval rendelkeznek, azonos módon kapcsolódnak a hálózathoz, azonos adminisztrációs és infrastrukturális környezettel rendelkeznek, azonos alkalmazást futtatnak.
    • Információgyűjtés az IT rendszerekről
    • Az információgyűjtés során az IT rendszerek alatt a hardver rendszereket (elemeket) valamint az aktív hálózati eszközöket értjük, és a technikai környezetre vonatkoztatunk. Az egyes rendszereket nem bontjuk elemeire (monitor, billentyűzet, diszk, memória stb.), hanem rendszer szinten kezeljük őket, mint pl. szerver, munkaállomás, távoli terminal stb.
      Az IT rendszerekről összegyűjtött adatok tartalmazzák a platform adatokat (hardver és operációs rendszer), a rendszer üzemeltetési státuszát (éles, teszt, fejlesztői), valamint az üzemeltető szervezet nevét.
    • Információgyűjtés az egyes alkalmazásokról
    • Az egyes alkalmazások adatai között fel kell tüntetni a kapcsolódó alkalmazások neveit, valamint fel kell jegyezni, hogy milyen személyes adatokat tartalmaznak.
  3. A védelmi követelmények meghatározása
  4. A stratégia kialakításának legnehezebb és egyben a legfontosabb lépése következik. Meg kell határozni, hogy az egyes adatcsoportok és az IT rendszerek milyen szintű védelmet igényelnek a három alap sérülés ellen, azaz mennyire érzékenyek a
    • bizalmasság
    • az integritás (sértetlenség, funkcionalitás)
    • és a rendelkezésre állás
    sérülésére.
  5. A védelmi követelmény kategóriák felállítása
  6. A védelmi követelmények megállapítása minden esetben a Megrendelővel szorosan együtt történhet. Általában az alábbi három védelmi követelmény kategória felállítását használjuk, ezeket javasoljuk a Megrendelőnek. Több kategória felállításának igénye esetén mérlegelni kell, hogy az eljárás bonyolultabbá válása meghozza-e a kívánt többlet eredményt.
    Védelmi követelmény kategóriák
    • alap alacsony-közepes)
    • a közvetlen veszteség és a negatív hatás nagysága korlátozott, nem jelentős
    • fokozott (magas)
    • a közvetlen veszteség és a negatív hatás nagysága jelentős gazdasági veszteséget okoz
    • kiemelt (nagyon magas)
    • a közvetlen veszteség és a negatív hatás olyan mértékű, amely veszélyezteti a további működést.
    Az egyes védelmi osztályok meghatározását a védelmi igények minél pontosabb megállapítása érdekében mind a három alap fenyegetésre el kell készíteni, szorosan együtt dolgozva a Megrendelővel. A meghatározások kidolgozásánál az alábbi kár tényezőket vesszük figyelembe, bár ezek bővíthetőek az adott környezet ismeretében.
    • törvényi előírások megszegése
    • személyes adatok/jogok sérülése
    • személyi sérülések
    • a szolgáltatás teljesítményének a sérülése
    • hírnév, külső kapcsolatok romlása
    • pénzügyi következmények
    Ezt megelőzően el kell készíteni valamennyi kategóriára az egyes kár tényezők hatásainak az értékelését részletesen tartalmazó táblázatokat, a három alap sérülés eseteire.
  7. A védelmi követelmény kategóriák testre szabása
  8. Elképzelhető, hogy egyes esetekben vannak olyan káresemények is, amelyek a fenti felsorolás hat pontjában nem szerepelnek, ekkor azokat megfelelően ki kell egészíteni. Ezeknél a károknál minden egyes esetre meg kell határozni a határvonalat az alap (alacsony-közepes), fokozott (magas), kiemelt (nagyon magas) kategóriákra.
    Ezen felül figyelembe kell venni a cégre/szervezetre vonatkozó egyéni körülményeket is. Egy 200.000 Euró-s veszteség egy nagy cégnél elfogadható lehet, míg egy kisebb szervezetnél akár 10.000 Euró-s veszteséget is nehéz túlélni. Ezért célszerű a határvonalakat a teljes forgalom, profit, vagy IT költségvetés arányában kifejezni.
    Hasonló megfontolásokra van szükség a rendelkezésre állás követelményeivel kapcsolatban is. Például egyes szervezeteknél a 24 óra teljes leállási idő még elfogadható lehet, de ha gyakran pl. hetente többször ismétlődik, akkor összességében ez már nem tolerálható, máshol 1-2 óra sem tolerálható.
  9. Az IT rendszerek védelmi követelményeinek a meghatározása
  10. Az előzőekben kialakított védelmi kategóriákba be kell sorolni az egyes IT rendszereket. Az IT rendszerek védelmi követelményeinek a meghatározásához az érintett IT alkalmazások védelmi követelményeit kell alapul venni (és ezekből származtatni) az alábbi alapelvek figyelembe vételével:
    • Maximum elv:
    • az alkalmazások közül a legnagyobb védelmi kategóriájút kell figyelembe venni,
    • Függőségi elv:
    • a rendszeren futó alkalmazások eredményeit felhasználó alkalmazások közül a legmagasabb védelmi követelmény kategóriája határozza meg a rendszer védelmi kategóriáját,
    • Kumulatív elv:
    • amennyiben több alkalmazás fut a rendszeren, az alkalmazások sérüléseiből származó károk összeadódnak.
  11. A hálózati kapcsolatok védelmi követelményeinek a meghatározása
  12. A hálózati kapcsolatokat a védelmi követelményeik alapján két osztályba soroljuk:
    • alap (normál)
    • kiemelt (kritikus)
    Az adatkapcsolat akkor tekintendő kritikusnak, ha
    • az adat kikerül a vállalati hálózatról nyilvános, vagy nem a vállalat által kontrollált hálózatra
    • az adat fokozott (magas) vagy kiemelt (nagyon magas) védelmi kategóriába (osztályba) sorolódik
    A magas védelmi követelményeket igénylő adatkapcsolatokat és a magas védelmi követelmények okait dokumentáljuk.
  13. Az IT környezet védelmi követelményeinek a meghatározása
  14. Az IT rendszerek védelmi követelményei alapján, azokból származtatva meghatározásra kerülnek az IT rendszerekkel érintett helyiségek, épületek védelmi követelményei. A védelmi követelményeket dokumentáljuk.
  15. Az informatikai kockázatok elemzése
  16. A kockázat elemzés célja a kockázat mértékének meghatározása az IT rendszert fenyegető minden egyes veszély:
    • a bizalmasság elvesztése
    • a sértetlenség elvesztése
    • a rendelkezésre állás elvesztése
    (az un alapfenyegetések) esetén, hogy ennek alapján a megfelelő védelmet kiválaszthassuk.
    A kockázatbecslés eredménye a kockázat mértéke az IT rendszert fenyegető mindenegyes veszély esetén. A kockázat mértéke alapján eldönthető, hogy mely kockázattal foglalkozzunk elsőként a védelem kiválasztásakor.
    Az elemzéshez elvégezzük:
    • A vagyonelemek értékelését. A mennyiségi értékelésnél a költségeket átkonvertáljuk minőségi skálára.
    • Minden egyes fenyegetésnél és vagyon csoportnál, amelyet a fenyegetés érint, megbecsüljük a fenyegetés és sérülékenység mértékét. Így határozhatjuk meg a fenyegetettség, valamint a sérülékenység fokát – a magastól az alacsony szintig -, hasonlóképpen a sérülékenység szintjét különbséget téve a következmények szerint.
    • A fenyegetés lehet természeti, vagy emberi eredetű, lehet véletlen, vagy szándékos. Mindegyiket azonosítjuk és előfordulásának valószínűségét megfelelően besoroljuk.
    • A sérülékenység jelenti a fizikai környezet, szervezet, eljárások, személyzet, menedzsment, ügyirat-kezelés, hardver, szoftver, vagy kommunikációs berendezések gyöngeségeit, amellyel valamilyen fenyegetés visszaélhet. A sérülékenység önmagában nem veszélyes, amíg nincs fenyegetés ellene. Rosszul implementált, vagy rosszul működő védelem pl. önmagában is sérülékenységet jelent. A sérülékenységet mindenegyes fenyegetettség szempontjából külön értékeljük.
    • A vagyoni értékeket, a fenyegetettség és sérülékenység értékeit – minden egyes következmény fajtára vonatkozóan – mátrixban párosítjuk, minden kombinációtípushoz hozzárendelve a megfelelő kockázati mértéket egy célszerűen 1-5-ig terjedő skálán. Az értékek a mátrixban strukturálva találhatók meg.
    • Minden vagyoni elemhez hozzárendelünk egy sérülékenységet és egy annak megfelelő fenyegetést. Ha a sérülékenységhez nem tartozik fenyegetés, vagy a fenyegetéshez nem tartozik gyengeség (veszélyeztetettség), akkor nincs kockázat, de ebben az esetben is figyelni kell az esetleges változásokat.
    • A kapott értékek alapján lehetővé válik a kockázatok mértékének és sorrendjének meghatározása. A kockázat elemzés elvégzésénél figyelembe vesszük a Társaság jelenlegi informatikai biztonsági kontrolljait, amelyet az adatgyűjtési projekt fázis során mérünk fel.
    • A kockázat elemzés részeként javaslatot adunk a hiányzó kontrollok bevezetésére, a javaslati anyagunkban táblázatos formában (is) megadjuk az egyes kontrollok bevezetési feltételeit valamint a bevezetés és fenntartás becsült anyagi ráfordítás vonzatait is, amelyek beruházási és költség tényezőkből állnak.

Qualys PCI Reseller xhtml logo css logo
| Last modified: 2009. 06. 10.
Adatvédelem | Használati feltételek